Expertblogs

Het NCSC en de cyber threat intelligence-cyclus

Binnen het NCSC geef ik, Noortje Henrichs, leiding aan zowel het Cyber Threat Intelligence-team als het team Dreigingsanalyse. Vorige week heb ik wat meer verteld over het team dat binnen het NCSC verantwoordelijk is voor dreigingsinformatie over digitale aanvallen. Ik heb ook wat meer verteld over de verschillende categorieën dreigingsinformatie en de diversiteit van het CTI-team. Daarnaast heb ik uitgelegd dat wij als NCSC een volledig dreigingslandschap bijhouden met als doel om al onze doelgroepen van de juiste informatie te bedienen.

In dit blog ga ik nader in op de cyber threat intelligence-cyclus (of CTI-cyclus). Ik leg uit wat dit is en hoe we deze cyclus binnen het NCSC toepassen zodat we onze doelgroeporganisaties dreigingsinformatie in de juiste vorm kunnen aanbieden.

De cyber threat intelligence-cyclus

Typ ‘cyber threat intelligence cycle’ in op Google en je krijgt veel varianten die allemaal erg veel op elkaar lijken. Deze cyclus wordt namelijk erg vaak gebruikt door organisaties die met dreigingsinformatie werken om van ‘ruwe’ data bruikbare informatie te maken waarop organisaties en beleidsmakers hun beveiligingsmaatregelen kunnen toepassen.

Onder ‘ruwe data’ verstaan we vaak grote hoeveelheden niet-geclassificeerde data zonder context die op een bepaalde manier verwerkt moet worden om daar informatie uit te krijgen die antwoord geeft op je initiële vraag. Een voorbeeld hiervan is data van een geïnfecteerd computersysteem. Je zal deze data moeten filteren om de code te ontdekken die bij de aanval hoorde of waarvan een aanvaller misbruik heeft gemaakt. Alleen na bewerking kun je hier dus bijvoorbeeld aanvalsindicatoren uit halen die je vervolgens weer kan gebruiken voor detectie. Als je dan iets detecteert, moet je ook weten wat de eigenschappen van zo’n aanval zijn en wat het oogmerk is. Het maakt immers veel uit of je nou detecteert op een digitale spionageaanval, ransomware of banking malware. De CTI-cyclus is dus eigenlijk een stappenplan om ruwe data te verwerken tot bruikbare dreigingsinformatie.

©NCSC
Figuur 1. Niveaus van dreigingsinformatie, gebruikt door het NCSC

Plannen

In het begin moet je bij iedere vorm van dreigingsinformatie bepalen welk soort informatie je graag zou willen ontvangen. Welke dreigingen zijn van belang voor jouw organisatie? Wat wil je in de gaten houden zodat je jouw beveiligingsmaatregelen daarop in kan stellen of aan kan passen? Wat moet je managementteam weten om de juiste prioriteit te kunnen geven op beveiligingsgebied? Dit heet doorgaans een ‘RFI’ (Request for Information) of gewoon informatiebehoefte.

Stel, je bent een farmaceutisch bedrijf en wilt graag weten welke dreiging er uitgaat van landen die informatie willen stelen over COVID-vaccins. Dan is dat je informatiebehoefte, die je dan nog zou moeten toespitsen. Wil je bijvoorbeeld technische dreigingsinformatie over malwarecampagnes die vaccininformatie stelen waarop je vervolgens kan detecteren? Of wil je weten tegen welke landen je je moet verdedigen en wat hun werkwijzen zijn zodat je maatregelen kan nemen? Dit alles moet je van tevoren bedenken om de dreigingsinformatie zo bruikbaar mogelijk te laten zijn. Het NCSC werkt met een hele brede informatiebehoefte, namelijk de specifieke RFI’s van al onze doelgroepen.

1. Verzamelen

Als je informatiebehoefte duidelijk is, kan je beginnen met het verzamelen van informatie. Als nationale CSIRT/CERT (Computer Emergency Response Team) putten we hiervoor uit verschillende bronnen, waaronder:

  • Meldingen van doelgroeporganisaties;
  • Open bronnen (media, openbare rapporten, onderzoeksinstellingen);
  • Semi-gesloten bronnen (samenwerkingsverbanden/cyber-communities zoals andere (nationale) CSIRT/CERT’s, MSSP’s en bijvoorbeeld de analisten van NDN-deelnemers);
  • Gesloten bronnen (partnerinformatie);
  • Commerciële bronnen (dreigingsinformatie die wij bij partijen inkopen, betaalde diensten);
  • Eigen informatie (data die we zelf produceren, bijvoorbeeld zelfgemaakte Snort- en YARA-rules);

Het voordeel van deze grote hoeveelheid informatiebronnen is dat je snel dreigingen kan duiden. Je kan bijvoorbeeld snel zaken navragen of bevestigd krijgen. Er zit echter ook een nadeel aan de hoeveelheid informatie; namelijk dat het soms moeilijk is om het totaaloverzicht te krijgen en op basis van deze enorme hoeveelheid informatie een dreigingslandschap te schetsen.

Soms is het vanzelfsprekend welk soort informatie je bij welke bronnen kan halen. Als het NCSC iets meer wilt weten over een nieuwe criminele aanvalscampagne, kunnen we daarvoor bijvoorbeeld onze contacten bij de politie benaderen. Soms is het echter moeilijker te voorspellen waar je met je vraag terecht kan.

Om deze reden is het noodzakelijk om bij het opvragen van dreigingsinformatie heel gericht aan te geven welk soort gegevens je nodig hebt. Sommige partijen zijn namelijk gespecialiseerd in bijvoorbeeld technische dreigingsinformatie voor een specifieke sector, terwijl anderen een heel breed inzicht bieden in dreigingen die relevanter zijn voor Europese overheidsorganisaties. Als je scherpe RFI’s hebt opgesteld is de kans ook groter dat je de informatie ontvangt die de RFI helpt te beantwoorden. Het mag inmiddels geen verrassing meer zijn dat leveranciers een minder scherpe RFI kan meegeven aan bijvoorbeeld een bank dan aan het NCSC door de diversiteit van onze doelgroepen.

2. Analyseren

Analyse is het proces dat hét verschil maakt tussen data en bruikbare informatie. De ruwe data die het NCSC verzameld heeft moet uiteindelijk immers tot dreigingsinformatie verwerkt worden die relevant zou kunnen zijn voor onze doelgroepen.

Hierbij filteren we allereerst de informatie uit onze bronnen: we zoeken naar welk soort malafide verkeer relevant zou kunnen zijn voor onze doelgroepen, waar het vandaan komt en hoe het werkt. We slaan binnenkomende data op in een platform, dat ons niet alleen in staat stelt om te archiveren en te organiseren, maar ook om verbanden te leggen. Zo kan het soms zijn dat technische indicatoren van verschillende malwarecampagnes overeenkomen, of dat we bekende malware zien die zich ineens op andere doelwitten richt.

Het NCSC doet overigens zelf geen actief onderzoek naar wie de digitale aanvallers -- die we in jargon ‘actoren’ noemen -- zijn.  Anders dan de politie en de inlichtingendiensten zijn we hiertoe niet wettelijk bevoegd. Wel onderzoeken en analyseren we trends en ontwikkelingen in digitale aanvallen in samenhang met de actoren aan wie ze toegeschreven worden. Als onderzoekers en partners een digitale aanval veelvuldig toeschrijven aan land X, dan benoemen we dit (uiteraard met bronvermelding). We doen echter zelf geen onderzoek naar land X. We onderzoeken alleen de waarschijnlijkheid en de impact van de aanvallen zelf, alsook hun eigenschappen en indicatoren die onze doelgroepen kunnen gebruiken om op dit soort aanvallen te detecteren; de zogenaamde ‘Indicators of Compromise’ of ‘IoC’s’. Lees voor meer informatie over IoC’s ook het eerdere expertblog Deel 3: De NDN-sensor hangt in mijn netwerk.

3.  Verrijken

We verrijken zowel tactische als technische informatie. Tactische informatie wordt door het NCSC aangevuld met actuele ontwikkelingen en trendverschuivingen, die we uit onze hoeveelheid aan bronnen en meldingen identificeren.

Voor technische informatie werken veel organisaties, net als het NCSC, met een platform voor analyse. Zo’n platform wordt doorgaans een ‘Threat Intelligence Platform’ genoemd, oftewel een ‘TIP’. Er bestaan TIP’s van verschillende merken, maar er zijn ook open source TIP’s. Allen hebben verschillende eigenschappen. Een aantal voorbeelden van TIP’s zijn MISP, CRITS en ThreatStream. TIP’s stellen ons, zoals eerder gezegd, in staat om verbanden te leggen tussen data, maar ook om de data te filteren en te verrijken. Dit gebeurt onder andere door het filteren van de grote verzameling data op de zogenaamde ‘false positives’ (detectieresultaten die ten onrechte legitiem verkeer als malafide bestempelen). Vervolgens wordt er zowel handmatig als automatisch een inschalingslabel aan een IoC gehangen. De keuze van een label is afhankelijk van de ernst van de dreiging. Ten slotte helpt ons team de technische indicatoren zoveel mogelijk te voorzien van relevante context zodat het meteen duidelijk is waar we mee te maken hebben als we zo’n IoC ooit tegenkomen. Als een situatie daar om vraagt, zoeken we actief verder naar bijbehorende technische gegevens (pivoting) en genereren we daarmee eigen, unieke dreigingsinformatie.

4. Exploiteren

Als we al onze data gefilterd, geanalyseerd en verrijkt hebben, maken we daar de verschillende NCSC-producten van die naar onze doelgroepen gestuurd worden of met een breder publiek via onze website gedeeld worden. Deze producten verschillen onderling erg veel om aan de meeste informatiebehoeften tegemoet te komen. Alle producten leunen echter evenveel op het hiervoor beschreven proces van het verkrijgen van dreigingsinformatie. Dit zijn een aantal voorbeelden van dreigingsproducten die het NCSC met de doelgroepen deelt:

  • Bericht op de website over een toename aan intensiteit en aantal DDoS-aanvallen;
  • Bericht aan alle partijen binnen een specifieke vitale sector over een nieuwe malware die zich op de sector richt;
  • Een bijdrage en een review op een dreigingsanalyse die geschreven is door een partnerorganisatie;
  • Een technische feed die geleverd wordt aan de deelnemers van het Nationaal Detectie Netwerk;
  • Een sessie met een doelgroeporganisatie waarin mogelijke dreigingsscenario’s worden opgesteld, zodat deze bijvoorbeeld in draaiboeken verwerkt kunnen worden.

5. Evalueren

Het is voor ons als nationale CSIRT/CERT een hele uitdaging om relevante dreigingsinformatie te leveren aan alle organisaties in onze doelgroepen, maar het is een uitdaging die het NCSC graag aangaat. Daarbij is het noodzakelijk om iedere keer te kijken hoe wij ons daarin kunnen verbeteren. Heeft een specifiek dreigingsproduct geen meerwaarde meer voor onze doelgroepen? Dan kunnen we er beter mee stoppen en onze energie steken in het produceren van ander soort dreigingsinformatie. Heeft een bepaald product wel meerwaarde? Dan bekijken we hoe we het eventueel zouden kunnen verbeteren.

6. Bijstellen (en opnieuw plannen!)

De relatiemanagers van het NCSC bevragen onze doelgroepen actief op suggesties en verbeterpunten. Kritiek is niet altijd leuk om te horen, maar wel erg noodzakelijk om de juiste veranderingen door te voeren. Onze missie is immers om Nederland samen digitaal veilig te maken en dit kan niet zonder kwalitatief goede dreigingsinformatie. (Gelukkig krijgen we ook vaak complimenten!)

Soms blijkt uit de evaluatie dat er behoefte is aan ander soort informatie of een andere insteek van het product. Het NCSC verwerkt dit dan zo goed mogelijk en past het proces van informatievergaring daarop aan. Daarom is het zo belangrijk voor ons om goed te blijven luisteren naar de informatiebehoeften van organisaties en dat organisaties feedback op onze producten blijven leveren.

Wordt vervolgd…

Volgende week zal ik wat meer vertellen over een aantal van onze dreigingsproducten, hoe ze tot stand komen en de dilemma’s waar we als NCSC soms mee worstelen. Dank voor uw aandacht!

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.